该阶段应当完成的研究工作包括:原有策略的制定方式、一些术语的使用、记录策略的传统格式、策略编号和命名系统、策略和其他管理元素之间的关联项(比如过程与标准等)。例如,原有策略通常使用“必须”这一词,为了维持一致性,信息安全策略也应当使用“必须”这一词。同样,原有策略也许采用军用式的编号系统或者完全不同的样式。一个信息安全策略的发布一直是有争议的问题,不管内部策略样式指导方针制定与否,都不要由于未能与这些方针不一致而给批评家更多的话题。
原有策略要求,对机构策略声明的详细等级进行评审。机构也许已经用了特定的术语来定义原有策略,在这些策略中,采用详细的信息安全策略声明也是比较恰当的;另一种情形是,这些机构也许用了非常高级的术语来定义策略,这时也许只有采用概要的信息安全声明是恰当的。也许两种选择同时存在,那么分离的策略可面向不同的策略对象。从某种角度上讲,策略的详细等级是由管理层对员工的信任程度所决定的;也是由员工对文档具体要求的遵守程度所决定的;以及由员工对正在解决的问题的熟悉程度所决定的。
内部策略中的一些信息(诸如表示方法、策略使用、使用方法、详细等级等)很少被记录,但是通过检查原有策略声明可以获得这些信息。在一些超大型机构中也许存在一些文档,可给策略制定过程提供方向。在一些大型机构中,策略和计划小组的内部员工能够帮助策略制定工作。不管是否能够获得外部的指导或内部的咨询辅助,为了确保即时的采用,应当采用与原有策略类似的方法,来制定新的或修改的信息安全策略,这些方法的形式与原有策略应该没有本质区别。